Кибербезопасность в промышленном секторе: как оценить прикладную критичность систем, автоматизирующих производство
Евгений Баклушин, исполнительный директор КИТ и автор блога BESSEC, предлагает следующий план оценки: Шаг первый — проанализировать производственные процессы, разделив их на группы:
🟡Основные — процессы превращения сырья и материалов в готовую основную продукцию, которое производит предприятие 🟡Вспомогательные — направлены на изготовление неосновной продукции или обеспечения нормального протекания производственных процессов (ремонтное, инструментальное хозяйство и пр.) 🟡Обслуживающие — обеспечивают создание нормальных условий для протекания основных и вспомогательных производственных процессов (транспортировка сырья и продукции, хранение) 🟡Контролирующие — процессы, задачей которых является постоянный или периодический контроль за безопасностью протекания прочих процессов 🟡Измерительные — задачей которых является учет ресурсов и готовой продукции
Шаг второй — определить степень критичности процессов по целевому назначению, разделив их на группы:
*️⃣Основные — высокая степень, т.к. оказывает прямое влияние на основной процесс и выпуск основной готовой продукции *️⃣Вспомогательные — низкая, т.к. не оказывает прямого влияния на выпуск основной продукции *️⃣Обслуживающие — равна степени критичности обслуживаемого процесса *️⃣Контролирующие — равна степени влияния на основной процесс и условиям, при которых оказывается влияние *️⃣Измерительные — средняя, т.к. может снижать общую эффективность процессов при искажении измеряемых данных
Шаг третий — определить итоговую критичность систем для бизнеса.
Когда мы уже знаем типы процессов и степень их критичности, остается понять, насколько каждый из них автоматизирован (ручной, механизировано-ручной, автоматизированный и автоматический). Чем выше степень автоматизации процесса, тем выше потери от нарушений функционирования промышленных систем.
После чего в соответствии с небольшой матрицей определяем итоговый уровень критичности систем по пересечениям.
Увидеть матрицу и узнать, что делать с высококритичными системами можно в полной версии статьи Евгения Баклушина.
В этом посте были ссылки, но мы их удалили по правилам Сетки
